Нет никаких сомнений в том, что вам нужно, чтобы ваш компьютер с Windows был исправлен. В наш век EternalBlue и Shadow Brokers, Wikileaks и ЦРУ избегать исправлений безопасности для Windows — все равно что вывешивать в интернете вывеску с надписью «Пни меня».

Тем не менее, у опытных пользователей Windows нет причин уступать патчам Microsoft. Автоматическое обновление Windows — это здорово, жизненно важно для вашей святой тети Марты, которая боится, что что-нибудь, кроме игры в маджонг, сломает ее компьютер. Но автоматическое обновление — это ненужный риск для людей, которые знают, как использовать Windows и которые постоянно следят за разработками Windows. Если вы достаточно осведомлены, чтобы читать это, вам следует серьезно подумать над тем, чтобы взять исправления Windows в свои руки.

Основная проблема: Microsoft до сих пор не выяснила, как доставить надежные исправления Windows. Вторничные патчи превратились в масштабные площадки для бета-тестирования, где ошибки выползают из дерева и атакуют непредсказуемым образом. За некоторыми примечательными исключениями, я не виню Microsoft за беспредел — исправление беспорядка, который мы знаем как Windows, во всей его разнообразной славе, является полной проблемой NP (то есть, это «технически сложно»). Если бы все пропустили автоматическое обновление, мы были бы в безобразном беспорядке. Но люди, которые хотят и могут читать чайные листья, не должны подвергать себя риску идти в ногу с темпом автоматического обновления.

Рассмотрим все недавние ошибки, обнаруженные автоматическим обновлением. В марте Microsoft выпустила патч для Windows 10, который сломал собственный продукт, Dynamics CRM 2011 . Еще в апреле мы увидели:

Обнаружение неработающей версии для заблокированных обновлений, ошибок MSRT, проблемы с Microsoft Baseline Security Analyzer, ошибки синхронизации для серверов обновлений, больше проблем с прерывистым накопительным обновлением Win10 1607, нечетными множественными перезагрузками и путаницей .Net-патчей.

Со временем эти проблемы были решены, но в июне Auto Update выявила 16 плохих исправлений Office,  которые в конечном итоге были исправлены через шесть недель. Нам подали исправление Internet Explorer, которое нарушало определенные функции печати. Кроме того, несколько недель назад был выпущен мошеннический патч для драйвера Surface Pro 4, поставляемый с помощью автоматического обновления, который перекрыл функциональность Windows Hello .

Ни один из них не является особенно изнурительным для большинства людей, но для некоторых это — боль в шее и позитивная агония для несчастных. Более того, проблем можно было полностью избежать, если вы просто подождали пару недель, пока сообщения о проблемах не исчезнут, а Microsoft исправит свои исправления.

Такие глюки случаются почти каждый месяц. Некоторые люди думают о них как о «страшных историях», и если вы работаете на Microsoft, я полагаю, что это так. Но если вам нужно открыть вложение в Outlook или вы потратили пару часов, пытаясь выяснить, почему Windows Hello внезапно перестала работать, это важно. Если ваша компания создает надстройку Internet Explorer, которую необходимо распечатать, на карту поставлены ваши средства к существованию. Microsoft обычно говорит, что такого рода проблемы затрагивают «небольшое количество» компьютеров, но уровень жалоб в децибелах делает их неискренними.

Даже если Microsoft не виновата — часто это не так — острый палец становится небольшим утешением для людей, чьи дни были нарушены странным конфликтом, или их продукты забиты.

Патчи важны, но для их выполнения не требуется автоматическое обновление.

Конечно, вы должны быть исправлены в конце концов; Вы просто не хотите быть в этой начальной стадии бета-тестирования.

Две недавние массовые вспышки, WannaCry и NotPetya, иллюстрируют эту мысль.

Microsoft исправила дыру в безопасности, использованную WannaCry в MS17-010, выпущенном 14 марта. 15 апреля Эфрейн Торрес написал в Твиттере таблицу, в которой объяснялось, какие дыры в безопасности MS17-010 на самом деле закрыты , и к 17 апреля тревога была поднята по всей сети. чтобы немедленно установить MS17-010. Сама инфекция WannaCry появилась 12 мая. Если вы заблокировали автоматическое обновление 14 марта, у вас было два месяца, чтобы установить один из 10 различных исправлений, включающих MS17-010, или пострадать от последствий.

Не Петя совсем другое животное. Векторы заражения все еще находятся в таблицах и обсуждаются, но создается впечатление, что вредоносная программа проникла в большинство сетей через отравленное обновление для пакета учета MEDoc и распространилась с использованием различных методов, в том числе исправленных MS17-010. NotPetya впервые появился 27 июня. Опять же, если вы будете прилежны, у вас было достаточно времени, чтобы залатать.

Да, вы должны быть исправлены. Но нет, вам не нужно предлагать свой рабочий компьютер до бета-программы автоматического обновления.

Конечно, есть недостатки в подходе выжидания. Главным среди них: если Microsoft исправляет уязвимость в Windows или Office, и вредоносные программы появляются очень быстро, чтобы воспользоваться ранее неизвестной дырой в безопасности, те, кто откладывает обновления, могут быть застигнуты врасплох.

Это случилось в прошлом, но это стало необычным. Конечно, есть исправления для нулевых дней — исправления Windows Update для дыр в безопасности с известными эксплойтами — но это лошадь другого цвета. Microsoft проделала хорошую работу, запутав описания и не допуская быстрого исправления исправленного кода. Может ли массовая реверсивная волна вредоносного ПО развернуться в какую-то будущую среду? Да, и если это произойдет, автоматическое обновление сохранит день.

Как и во всем, что связано с исправлением Windows, есть свои плюсы и минусы. Вы должны взвесить вероятность гигантской, быстро реконструированной атаки против уверенности в глючных патчах. История показывает, что риск слепого исправления в первый день значительно превышает риск задержки на пару недель.

Отказ от автоматического обновления

Microsoft знает, что опытные пользователи часто хотят отказаться от игры с автоматическим обновлением. Компания создала групповые политики в Windows 10 Anniversary Update (версия 1607), которые задерживают автоматическое обновление на определенное количество дней. Windows 10 Creators Update (1703) делает эти параметры доступными в приложении «Настройки». Хотя взаимодействие групповых политик и значений параметров неясно, по крайней мере для меня, это огромный шаг вперед. На мой взгляд, возможность легко откладывать обновления является единственной наиболее важной функцией в Windows 10 Creators Update.

К сожалению, эти настройки доступны только тем, кто работает под управлением Windows 10 Pro и Enterprise версии 1607 и выше. Пользователи Windows 10 Home и пользователи Pro, которые не знают волшебного рукопожатия, переходят на бета-тестирование генофонда с автоматическим обновлением, если только они не предпримут экстраординарных мер, чтобы помешать работе системы. К счастью, пользователи Windows 7 и 8.1 имеют под рукой инструменты для блокировки автоматического обновления.

Поэтому в следующий раз, когда кто-нибудь скажет вам, что вам нужно включить автоматическое обновление, подождите несколько минут, прежде чем щелкнуть выключателем.

Да, конечно, вам нужно регулярно устанавливать обновления. Да, безусловно, если вашей святой тете Марте нельзя доверять в принятии взвешенного решения, ее компьютер должен присоединиться к неоплачиваемым бета-тестерам. Но нет, вам не нужно глотать обновления в соответствии с расписанием Microsoft. Немного усердия и проницательности может защитить вашу машину от угроз, поступающих со всех сторон.